683 alarmer og hvad så?

Tina Prüser Kofod

Tina Prüser Kofod

It Security Consultant

December 8, 2020 at 15:50

I de første 10 måneder af 2020 har vi håndteret 683 alarmer fra vores Cyber Defence Center i Herlev. Men hvad betyder det egentligt, og hvor alvorlige var de? 

Det er faktisk ikke antallet af alarmer, som er det vigtigste her. Det er, om de var kritiske. Og dem har vi heldigvis ”kun” oplevet 10 af i løbet af de 10 måneder. Derudover havde vi 105 alarmer, som vi betegner som alvorlige. Sammenligner vi med samme periode sidste år, så var der kun 8 kritiske og 93 alvorlige alarmer. 

De største trusler lige nu

Når vi analyser alarmer – både de kritiske og alvorlige, så er der 3 tendenser, der går igen:

  1. Credentials
  2. Malware
  3. Brug af arbejds-e-mail

Credentials

Credentials er den største trussel lige nu. De cyberkriminelle går i højere grad efter at få fat på vores login oplysninger, fordi de ved, at det er kilden til at komme endnu længere ind i virksomheders netværk.  

Malware

Vi ser fortsat en del forsøg på at sprede Malware ved hjælp af phishing kampagner. Det har den nuværende pandemi ikke gjort mindre, men det lykkedes heldigvis ikke, i så stor grad, som før at lokke medarbejdere til at klikke på et link i en mail eller på en sms. Vi får fortsat alarmer på det, men i langt de fleste tilfælde, når vi at mindske risikoen. 

Arbejds-e-mail

Derudover ser vi fortsat, at mange medarbejdere bruger deres arbejds-e-mail til private formål, og det øger risikoen for brud på virksomhedens netværk. Derfor kan vi kun understrege vigtigheden af; at have en politik på dette område, at kontinuerligt arbejde med awareness programmer og hvis nødvendigt at blokere anvendelsen af medier/platforme på medarbejdernes pc’er. 

Nixu CDC

 

Så hvad er det, vi fanger?

Hvis jeg skal komme med nogle eksempler fra de sidste 10 måneder, uden at afsløre for meget, så kommer de her: 

  1. Hvis en medarbejder begynder at overføre data til f.eks. sin private g-mail konto, vil det blive kategoriseret som en alvorlig alarm. Da vi ikke kan se, hvilket data der overføres, og om det er legitimt, flagger vi det.  
  2. Hvis vi kan se, at en medarbejders PC pludselig bliver brugt til at mine coins, flagger vi det også.
  3. Hvis ukendte ip-adresser begynder at tilgå en masse interne systemer, vil det også blive betragtet som en alvorlig alarm. 
  4. Hvis en virksomhed bruger ukendte API’er vil det også blive flagget. Hvis den er god nok, sørger vi efterfølgende for at whiteliste det.
  5. Hvis en medarbejder bruger et hacker tool til eksempelvis at cracke kodeord vil det være at betegne som en kritisk alarm og her venter vi ikke på, at den it-sikkerhedsansvarlige ser sin mail, her ringer vi!

Hvis du er interesseret i at høre mere om, hvad det er vi fanger, og hvad der er vores system kan, så er du velkommen til at kontakte mig for en demo.

Related blogs